Il y a en fait plusieurs parties de la question :
- Linux est-il affecté par des logiciels malveillants et en particulier des rançongiciels ?
- Existe-t-il des antivirus pour Linux ?
- Ces produits aident-ils à lutter contre cette menace ?
Pour répondre au premier :
Oui, il existe des logiciels malveillants pour Linux et il existe également des rançongiciels. Actuellement, il se propage généralement d'une manière différente par rapport à Windows :les logiciels malveillants sous Windows sont principalement distribués par courrier électronique et Web de phishing et utilisent des vulnérabilités et des fonctionnalités spécifiques à la plate-forme, c'est-à-dire actuellement principalement l'hôte de script Windows, les macros dans les documents Office et les vulnérabilités dans Office. Sur les systèmes Linux, il est généralement installé en attaquant le serveur, souvent en utilisant des problèmes de sécurité dans Wordpress et d'autres CMS. Mais c'est principalement parce que l'utilisation de Linux sur les serveurs est importante alors que l'utilisation des ordinateurs de bureau est encore rare. Les capacités et les vulnérabilités nécessaires pour propager les rançongiciels de la même manière que Windows existent également souvent sous Linux, bien que certaines différences (comme la nécessité de définir explicitement les autorisations des fichiers exécutables) rendent certains exploits plus difficiles.
Quant au second, c'est-à-dire sont les produits antivirus pour Linux :
Il existe à la fois des produits gratuits comme ClamAV et des produits commerciaux disponibles.
Et enfin, ces antivirus aident-ils contre les malwares/ransomwares ciblant Linux ?
Ils ne le font généralement pas. Ces produits antivirus se soucient principalement de la protection contre les attaques ciblant Windows et sont généralement utilisés pour analyser les fichiers ou les e-mails qui pourraient être servis aux systèmes Windows. Ainsi, ils sont par exemple utiles sur un serveur de messagerie ou un serveur de fichiers et également sur un serveur Web pour s'assurer que le serveur n'est pas utilisé pour propager des logiciels malveillants. Mais ils ne protègent même pas complètement contre les attaques ciblant Windows. Ils peuvent contenir du code pour détecter certains logiciels malveillants bien connus (et parfois seulement une preuve de concept) contre Linux, mais ils ne protégeront pas contre les nouveautés. Il existe également des produits qui analysent les traces de compromission du système existant et parfois ceux-ci sont appelés antivirus mais souvent pas.
Le meilleur moyen de se protéger contre la manipulation des données consiste à effectuer des sauvegardes sur une machine qui fournit un stockage en ajout uniquement.
Le cas le plus simple est celui des serveurs de fichiers journaux - il existe une seule liaison série sur laquelle vous pouvez envoyer des données, qui est horodatée et stockée ; le système n'interprète pas les données autrement, et il n'y a pas d'interface de commande sur la liaison série.
Pour les sauvegardes complètes, je dédierais une machine qui se connecte aux autres, récupère activement l'état actuel et l'archive directement, en dédupliquant éventuellement avec les versions antérieures. Les clients n'ont aucun moyen de contacter ce système de quelque manière que ce soit, tous les ports TCP sont fermés de l'extérieur.
Ce système a alors un excellent point de vue non seulement pour fournir des versions antérieures, mais il peut également être utilisé pour détecter les manipulations - les auteurs de logiciels malveillants ont le choix de cacher le logiciel malveillant de ce système (vous avez donc une sauvegarde propre), ou d'inclure (ce qui permet à un système antivirus s'exécutant sur le serveur de sauvegarde de le repérer).
Linux est sécurisé mais il n'est pas parfait.
Le malware Linux existe et il y a un exemple :WordPress-Delivered Ransomware et Hacked Linux Distributions qui décrivent comment une machine Linux peut être infectée par un ransomware en exploitant une vulnérabilité de programme.
Comment ça marche ?
Un site WordPress est piraté par n'importe quelle méthode disponible. Cela peut être une attaque de devinette de mot de passe par force brute ou en exploitant une vulnérabilité dans un plugin, un thème ou un noyau.
L'attaquant installe un code sur le site WordPress qui redirige les visiteurs vers d'autres sites Web infectés qui exécutent le kit d'exploitation nucléaire. Les redirections peuvent se produire via une série de sites Web pour essayer d'empêcher les navigateurs Web et Google de vous avertir qu'un site est infecté. Les sites impliqués dans la redirection changent fréquemment.
Lorsqu'un visiteur du site infecté est redirigé, le kit d'exploit nucléaire recherche des vulnérabilités dans le plugin Flash, Microsoft Silverlight, Adobe Reader ou Internet Explorer du visiteur du site.
Si Nuclear trouve une vulnérabilité, il exploite la machine du visiteur et installe le TeslaCrypt Ransomware.
Le rançongiciel crypte ensuite tous les fichiers sur le poste de travail et extorque le propriétaire à payer pour que son système soit décrypté.
Un deuxième exemple :Linux.Encoder.1 découvert par Dr.Web
Pourquoi n'avez-vous pas besoin d'un programme antivirus sous Linux ?
parce que vous avez installé vos programmes à partir d'un référentiel de confiance et que votre système est fréquemment mis à jour pour corriger les défauts des programmes
avec les logiciels open source, les codes sources sont disponibles pour tout le monde et peuvent être testés, corrigés par des experts et des développeurs.
Pourquoi avez-vous besoin d'un antivirus ?
L'antivirus peut être utile :
-
Pour analyser les e-mails à la recherche de virus.
-
Si vous avez
wine
installé sur votre système pour exécuter vos logiciels Windows favoris. -
Si vous avez une machine Windows sur votre réseau.
-
Pour analyser un disque dur Windows.
-
Pour analyser un fichier avant de l'envoyer aux machines Windows.
Le moyen le plus simple de vaincre les ransomwares sur n'importe quel système d'exploitation consiste à disposer d'une sauvegarde régulièrement mise à jour.